Știrile săptămânii din cybersecurity (21.03.2024)
Un APT asociat Chinei a compromis 48 de organizații guvernamentale
Un atacator de tip Advanced Persistent Threat (APT), suspectat ca fiind asociat guvernului chinez, a compromis zeci de entități guvernamentale din toată lumea, conform unui raport realizat de Trend Micro.
Cunoscut ca Earth Krahang, grupul de hacking organizat pare a fi asociat Earth Lusca, o echipă de penetrare din cadrul companiei chineze I-Soon. Documentele publicate recent arată că I-Soon este un contractor privat asociat, la rândul lui, Ministerului Siguranței Publice, cea mai mare agenție de poliție a Chinei.
Earth Karhang, spune Trend Micro, este o organizație focusată pe spionaj cibernetic și se suspectează că aceasta a fost responsabilă de compromiterea a cel puțin 70 de organizații din 23 de state diferite, în cea mai mare parte din zona Asiei și Americii, dar și din Europa și Africa. APT-ul a vizat, de asemenea, cel puțin încă 100 de entități aparținând altor 35 de state.
Conturile de email ale Fondului Monetar Internațional (FMI) au fost compromise
Atacatorii cibernetici au compromis cel puțin 11 conturi de email ale Fondului Monetar Internațional (FMI) la începutul acestui an. Agenția a descoperit incidentul pe 16 februarie 2024 și a lansat imediat o investigație cu ajutorul experților în securitate cibernetică.
„Ancheta relevă faptul că 11 conturi de email ale FMI au fost compromise. Conturile de email afectate au fost ulterior securizate. Nu avem niciun indicator de daune suplimentare în afara acestor conturi de email în acest moment. Ancheta asupra acestui incident continuă", se arată într-un comunicat al organizației.
„FMI ia foarte în serios prevenirea și apărarea împotriva incidentelor cibernetice și, la fel ca toate organizațiile, operează sub presupunerea că, din păcate, vor mai avea loc astfel de incidente. FMI dispune de un program robust de securitate cibernetică pentru a răspunde rapid și eficient la astfel de incidente.”
Acesta nu este primul incident suferit de FMI, agenția suferind o breșă majoră de securitate și în 2011.
300.000 de sisteme informatice sunt vulnerabile la un nou atac DoS de tip buclă
Cercetătorii de la Centrul pentru Securitatea Informațiilor CISPA Helmholtz din Germania au dezvăluit detaliile unui nou vector de atac de tip denial-of-service (DoS) care afectează multiple protocoale ale aplicațiilor bazate pe UDP, precum și sute de mii de sisteme cu deschidere la internet.
Experții au demonstrat funcționalitatea atacului DoS de tip buclă, în care atacatorii se folosesc de un spoof IP pentru a face două servere să comunice între ele, în baza unui protocol comun.
“Atacul DoS de tip buclă recent descoperit se perpetuează singur și are ca țintă mesajele la nivel de aplicație. Atacatorii conectează două servicii de rețea în așa fel încât ele vor transmite și răspunde la mesaje unul altuia pe termen nelimitat. Comunicarea reciprocă generează astfel un volum mare de trafic care duce la denial-of-service pentru toate sistemele și rețelele implicate” au explicat cercetătorii.
Atacuri DDoS asupra unor entități din sectorul financiar-bancar și instituții publice din România
Săptămâna trecută s-au înregistrat la nivel național atacuri de tip Distributed Denial of Service (DDoS) îndreptate împotriva unor organizații din sectorul financiar-bancar, cât și asupra unor instituții publice din România. Echipa DNSC a avertizat preventiv cu privire la posibilitatea unui astfel de atac și a fost constant în contact cu organizațiile țintite de aceste campanii de DDoS, pentru a oferi suportul necesar.
Cercetătorii din domeniul securității cibernetice au descoperit o nouă campanie malware care folosește pagini false de site-uri Google și cod ascuns HTML pentru a distribui un malware comercial numit AZORult pentru a facilita furtul de informații.
Campania de phishing nu a fost atribuită unui anumit actor sau grup de infractori. Oficialii companiei de securitate cibernetică Netskope Threat Labs au descris-o ca fiind răspândită, efectuată cu intenția de a colecta date sensibile pentru vânzarea lor în forumuri de criminalitate cibernetică.
AZOrult, numit și PuffStealer și Ruzalto, este un “hoț” de informații detectat pentru prima dată în jurul anului 2016. De obicei, este distribuit prin campanii de phishing și malspam, instalări de software-uri piratate și malvertising.
Odată instalat, este capabil să colecteze credențiale, cookie-uri și istoric de la browsere web, capturi de ecran, documente care se potrivesc cu o listă de extensii specifice (.TXT,.DOC,.XLS,.DOCX,.XLSX,.AXX, și.KDBX) și date din 137 de portofele de criptomonede. Fișierele AXX sunt fișiere criptate create de AxCrypt, în timp ce KDBX se referă la o bază de date cu parole creată de managerul de parole KeePass.
Cea mai recentă activitate din cadrul atacului implică faptul că atacatorii intenționează să creeze pagini Google Docs false pe site-urile Google care utilizează ulterior această strecurare de cod HTML pentru a livra sarcina utilă malițioasă.
Un nou atac de tip acustic poate determina ce scriu utilizatorii pe baza unor tipare de tastare
Cercetătorii au demonstrat funcționalitatea unui nou atac de tip acustic prin canalele laterale ale tastaturilor, permițând deducerea input-ului utilizatorilor din tiparele lor de tastare, chiar și în condiții neprielnice de înregistrare, precum zgomotele ambientale.
Chiar dacă metoda are o rată de succes de doar 43%, semnificativ mai mică decât cea a altor atacuri prezentate în trecut, aceasta nu necesită un mediu controlat de înregistrare sau o platformă specifică pentru tastare.
Acest fapt face metoda mult mai adecvată pentru scenariile reale de atac și, depinzând de anumiți parametrii specifici ai țintei, poate produce suficiente date corecte pentru a decifra input-ul utilizatorului per ansamblu, în baza unei analize ulterioare înregistrării.
Patch-urile Chrome 123, Firefox 124 soluționează vulnerabilități grave
Google și Mozilla au anunțat marți actualizări de securitate ale browserelor web care soluționează zeci de vulnerabilități, inclusiv una de severitate critică și multe altele de severitate mare.
Chrome 123 a fost lansat cu patch-uri pentru 12 bug-uri, dintre care șapte au fost raportate de cercetători externi. Mozilla a lansat Firefox 124 cu patch-uri pentru 12 defecte de securitate, dintre care cele mai severe sunt bug-uri de siguranță a memoriei de severitate critică. Unele dintre aceste defecte, spune Mozilla, ar putea fi exploatate pentru executarea de cod arbitrar.
Google și Mozilla nu menționează dacă aceste vulnerabilități au fost sau nu exploatate de infractori.
În adâncurile lumii digitale. Ce este Dark Web, ce găsim aici și cum navigăm în siguranță
Internetul are o zonă întunecată, în care Google și celelalte motoare de căutare nu ajung niciodată. E un spațiu în care utilizatorii pot găsi orice caută. Unii, informații și libertate de exprimare. Alții, acte falsificate, droguri și arme.
E un mediu fără prea multe reguli, în care toți vor să rămână anonimi. Se numește Dark Net (Internetul Întunecat) și îl putem accesa cu toții, chiar acum, dacă urmăm câțiva pași simpli.
Dark Web este, de fapt, o serie mare de rețele criptate de calculatoare, al căror scop este să le ofere utilizatorilor posibilitatea de a rămâne anonimi.
YouTube adaugă un nou instrument de etichetare a conținutului generat de AI
Pe data de 18 martie 2024, YouTube a anunțat o modalitate prin care creatorii să se auto eticheteze atunci când videoclipurile lor conțin materiale sintetice sau generate de AI.
Caseta de selectare apare în procesul de încărcare și postare a videoclipurilor, iar creatorii sunt obligați să declare dacă materialul include conținut „alterat sau sintetic” care pare realist. Sunt prevăzute aspecte precum folosirea imaginii unei persoane reale, manipulată digital să spună sau să facă ceva ce persoana în cauză nu a făcut; modificarea înregistrărilor evenimentelor și locurilor reale; sau prezentarea unei „scene realiste” care nu s-a întâmplat de fapt.
Unele exemple pe care le oferă YouTube arată o tornadă falsă care se deplasează spre un oraș real sau utilizează deepfake la nivel de voce pentru a da impresia că o persoană reală narează conținutul unui videoclip.
Pe de altă parte, astfel de declarații nu vor fi necesare pentru lucruri precum filtrele de frumusețe, efectele speciale cum ar fi blur-ul de fundal și „conținutul clar nerealist”, cum ar fi animația.
Autorități din domeniul securității cibernetice din Ucraina au arestat trei hackeri care încercau să vândă 100 de milioane de email-uri și conturi de Instagram compromise.
Cei trei bărbați au obținut credențialele conturilor prin de atacuri de tip brute-force, apoi le-au vândut altor infractori cibernetici prin intermediul piețelor darknet și al forumurilor de hacking.
Complicii locuiau în regiuni diferite ale Ucrainei. Fiecare membru a primit sarcini specifice de la cel care a condus operațiunea, au compilat baze de date cu credențialele conturilor compromise și le-au oferit spre vânzare pe dark web.
Baza de date cu conturi furate deținută de hackeri la momentul arestării conținea peste 100 de milioane de conturi ale utilizatorilor din întreaga lume și a fost construită în decursul mai multor ani. Poliția din Ucraina a declarat că cei care au cumpărat conturile compromise le-au folosit în diverse activități frauduloase, inclusiv în frauda „Prietenii cer un împrumut”.
Ivanti îndeamnă clienții să remedieze vulnerabilități critice RCE în soluția Standalone Sentry
Ivanti îndeamnă clienții să soluționeze urgent o vulnerabilitate critică de executare a codului de la distanță care afectează soluția Standalone Sentry. Vulnerabilitatea de execuție a codului de la distanță este documentată ca CVE-2023-41724 (scor CVSS de 9,6).
Un atacator neautentificat poate exploata această vulnerabilitate pentru a executa comenzi arbitrare pe sistemul de operare de bază al unui dispozitiv în cadrul aceleiași rețele fizice sau logice. Această vulnerabilitate afectează toate versiunile 9.17.0, 9.18.0 și 9.19.0. Versiunile mai vechi sunt, de asemenea, afectate.
Compania îndeamnă clienții să instaleze cât mai repede versiunile disponibile 9.17.1, 9.18.1 și 9.19.1, care soluționează problema. Vincent Hutsebaut, Pierre Vivegnis, Jerome Nokin, Roberto Suggi Liverani și Antonin B. de la Centrul de Securitate Cibernetică al NATO au raportat vulnerabilitatea.
Electronic Arts a amânat finala din America de Nord a turneului Apex Legends Global Series după ce doi jucători profesioniști au fost atacați în timpul unui meci.
Apex Legends Global Series (ALGS) este primul turneu esports pentru Apex Legends. Este un circuit de un an în care jucători de top din întreaga lume concurează pentru premii în bani și popularitate.
TechCrunch a raportat că pentru doi jucători diferiți în timpul meciurilor au fost activate codurile cu care pot trișa fără ca aceștia să le acceseze și activeze. În videoclip, a fost clar că Genburten a putut vedea alți jucători evidențiați pe hartă, chiar și pe cei ascunși în spatele obstacolelor, cum ar fi zidurile (așa-numitul „wallhack”).
În timpul meciului (video min 1.59), Genburten a afișat brusc un instrument de trișare numit „TSM HALAL HOOK”. Aruncând o privire la chat-ul de pe panoul din stânga al ecranului, este evidențiat un mesaj de la hacker, „Apex hacking global series, by Destroyer2009 & R4andom”.
Organizatorii au suspendat meciurile și au amânat turneul deoarece „integritatea concurențială a acestei serii a fost compromisă”.
Potrivit „Anti-Cheat Police Department”, atacatorii au exploatat o vulnerabilitate de executare a codului de la distanță. Nu este clar dacă aceasta afectează platforma de jocuri sau software-ul anti-cheat.
Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity stiri
Vizualizat de 955 ori
